บริษัทเทคโนโลยีสามารถชะลอการขัดขวางการละเมิดได้อย่างไร

บริษัทเทคโนโลยีได้สร้างเครื่องมือที่เราใช้ในการสร้างและดำเนินธุรกิจ ประมวลผลธุรกรรมของผู้บริโภค สื่อสารระหว่างกัน และจัดระเบียบชีวิตส่วนตัวและอาชีพของเรา เทคโนโลยีได้หล่อหลอมโลกสมัยใหม่อย่างที่เราทราบกันดี และการพึ่งพาเทคโนโลยีของเรายังคงเติบโตอย่างต่อเนื่อง

ความสำคัญของอุตสาหกรรมเทคโนโลยีไม่ได้หายไปจากอาชญากรไซเบอร์และกลุ่มรัฐชาติที่กำหนดเป้าหมายบริษัทเทคโนโลยีด้วยเหตุผลหลายประการ: เพื่อบรรลุเป้าหมายเชิงกลยุทธ์ การทหาร และเศรษฐกิจ; เพื่อเข้าถึงข้อมูลสำคัญขององค์กรที่พวกเขาสามารถเรียกค่าไถ่หรือขายบน Dark Web; เพื่อประนีประนอมห่วงโซ่อุปทาน และอีกมากมาย

บริษัทเทคโนโลยีไม่ใช่คนแปลกหน้าสำหรับอาชญากรรมทางไซเบอร์ — พวกเขาตกเป็นเป้าหมายของกิจกรรมของฝ่ายตรงข้ามมานานแล้ว — แต่ในปีที่ผ่านมา การโจมตีเหล่านี้เพิ่มขึ้นอย่างรวดเร็ว เทคโนโลยีเป็นเป้าหมายสูงสุดสำหรับการบุกรุกทางไซเบอร์ระหว่างเดือนกรกฎาคม 2021 ถึงมิถุนายน 2022 ตามข้อมูล ข้อมูลภัยคุกคามจาก CrowdStrike. ทำให้เทคโนโลยีเป็นภาคส่วนที่ได้รับความนิยมสูงสุด ตัวแสดงภัยคุกคาม ในช่วงหนึ่งปีที่นักล่าภัยคุกคามจาก CrowdStrike บันทึกการบุกรุกที่อาจเกิดขึ้นได้มากกว่า 77,000 ครั้ง หรือประมาณหนึ่งการบุกรุกที่อาจเกิดขึ้นทุกๆ เจ็ดนาที

หากฟังดูคุ้นๆ อาจเป็นเพราะคุณเคยเห็นกิจกรรมการคุกคามนี้ในข่าว — การละเมิดข้อมูล ผลกระทบต่ออุตสาหกรรมเทคโนโลยีกลายเป็นพาดหัวข่าวสำคัญในปี 2022 บริษัทเทคโนโลยีทุกขนาดควรกังวลเกี่ยวกับศักยภาพของกิจกรรมที่เป็นปฏิปักษ์ เพราะพวกเขามักจะพยายามขโมยข้อมูล เรามาดูรายละเอียดเกี่ยวกับภัยคุกคามที่บริษัทเทคโนโลยีควรกังวลมากที่สุด กลวิธีของศัตรูเหล่านั้นมีลักษณะอย่างไร และจะหยุดยั้งได้อย่างไร

ศัตรูในปัจจุบันกำหนดเป้าหมายบริษัทเทคโนโลยีอย่างไร

องค์กร ธุรกิจขนาดเล็กถึงขนาดกลาง (SMB) และบริษัทสตาร์ทอัพจะต้องตระหนักถึงภัยคุกคามที่พวกเขาเผชิญและวิธีป้องกัน

ฝ่ายตรงข้ามพยายามหลีกเลี่ยงมัลแวร์มากขึ้นเรื่อย ๆ เพื่อหลบเลี่ยงการตรวจจับ: ข้อมูลภัยคุกคาม CrowdStrike แสดงกิจกรรมที่ปราศจากมัลแวร์ซึ่งคิดเป็น 71% ของการตรวจจับทั้งหมดระหว่างเดือนกรกฎาคม 2021 ถึงมิถุนายน 2022 การเปลี่ยนแปลงนี้บางส่วนเกี่ยวข้องกับผู้โจมตีมากขึ้นเรื่อยๆ ใช้ข้อมูลรับรองที่ถูกต้องในทางที่ผิด เพื่อเข้าถึงและรักษาความคงอยู่ (เช่น สร้างการเข้าถึงระบบในระยะยาวแม้ว่าจะมีการหยุดชะงัก เช่น การรีสตาร์ทหรือข้อมูลรับรองที่เปลี่ยนแปลง) ในสภาพแวดล้อมด้านไอที อย่างไรก็ตาม ยังมีอีกปัจจัยหนึ่ง: อัตราที่ช่องโหว่ใหม่ถูกเปิดเผยและความเร็วที่ฝ่ายตรงข้ามสามารถดำเนินการโจมตีได้

จำนวนของ Zero-day และช่องโหว่ที่เพิ่งเปิดเผยยังคงเพิ่มขึ้นทุกปี ข้อมูลภัยคุกคาม CrowdStrike แสดงช่องโหว่ใหม่มากกว่า 20,000 รายการที่รายงานในปี 2021 ซึ่งมากกว่าปีที่แล้ว และมากกว่า 10,000 รายการที่ได้รับรายงานภายในต้นเดือนมิถุนายน 2022 นี่เป็นข้อบ่งชี้ที่ชัดเจนว่าแนวโน้มนี้ไม่ได้ชะลอตัวลง

การมองกลยุทธ์ เทคนิค และขั้นตอน (TTP) อย่างละเอียดยิ่งขึ้นที่ใช้ระหว่างการบุกรุกเผยให้เห็นรูปแบบทั่วไปในกิจกรรมของฝ่ายตรงข้าม เมื่อโจมตีช่องโหว่ได้สำเร็จ ช่องโหว่ดังกล่าวจะตามมาด้วยการปรับใช้ Web Shell เป็นประจำ (เช่น สคริปต์อันตรายที่ทำให้ผู้ไม่หวังดีสามารถบุกรุกเว็บเซิร์ฟเวอร์และเปิดการโจมตีเพิ่มเติม)

บริษัทเทคโนโลยีสามารถทำอะไรได้บ้างเพื่อหยุดการละเมิด

อุตสาหกรรมเทคโนโลยีถูกท้าทายให้รักษาแนวป้องกันที่แข็งแกร่งจากแนวภัยคุกคามที่พัฒนาอย่างต่อเนื่อง ผู้โจมตีในปัจจุบันกำลังเปลี่ยน TTP ของพวกเขาให้ละเอียดขึ้น เพื่อหลบเลี่ยงการตรวจจับ และสร้างความเสียหายมากขึ้น ผู้ปกป้องมีหน้าที่ปกป้องเวิร์กโหลด ข้อมูลระบุตัวตน และข้อมูลที่ธุรกิจของตนพึ่งพา

ไม่มีรูปแบบใดที่เหมาะกับทุกรูปแบบสำหรับวิธีการที่อาชญากรไซเบอร์ดำเนินการโจมตี และไม่มีกระสุนเงินสักนัดสำหรับบริษัทเทคโนโลยีในการป้องกันตนเองจากการบุกรุกทุกครั้ง อย่างไรก็ตาม เมื่อมองอย่างใกล้ชิดเกี่ยวกับกิจกรรมการบุกรุกจะเผยให้เห็นส่วนสำคัญที่ทีมไอทีและทีมรักษาความปลอดภัยให้ความสำคัญ ด้านล่างนี้เป็นคำแนะนำที่สำคัญ:

• กลับไปสู่พื้นฐาน: เป็นสิ่งสำคัญยิ่งที่บริษัทเทคโนโลยีจะต้องมีพื้นฐานด้านสุขอนามัยด้านความปลอดภัย ซึ่งรวมถึงการปรับใช้โปรแกรมจัดการแพตช์ที่รัดกุม และการควบคุมบัญชีผู้ใช้ที่มีประสิทธิภาพและการจัดการการเข้าถึงที่มีสิทธิพิเศษเพื่อลดผลกระทบจากข้อมูลประจำตัวที่ถูกบุกรุก
• ตรวจสอบบริการการเข้าถึงระยะไกลเป็นประจำ: ผู้ไม่หวังดีจะใช้ประโยชน์จากเครื่องมือการเข้าถึงระยะไกลที่มีอยู่ก่อนแล้วในการกำจัดหรือพยายามติดตั้งซอฟต์แวร์การเข้าถึงระยะไกลที่ถูกต้องโดยหวังว่าจะหลบเลี่ยงการตรวจจับอัตโนมัติใดๆ การตรวจสอบเป็นประจำควรตรวจสอบว่าเครื่องมือได้รับอนุญาตหรือไม่ และกิจกรรมนั้นอยู่ภายในกรอบเวลาที่คาดไว้หรือไม่ เช่น ภายในเวลาทำการ การเชื่อมต่อจากบัญชีผู้ใช้เดียวกันกับหลายโฮสต์ในช่วงเวลาสั้น ๆ อาจเป็นสัญญาณว่าฝ่ายตรงข้ามได้บุกรุกข้อมูลประจำตัว
• ค้นหาภัยคุกคามเชิงรุก: เมื่อผู้ไม่หวังดีละเมิดการป้องกันของบริษัทเทคโนโลยี อาจเป็นเรื่องยากที่จะตรวจจับพวกเขา เนื่องจากพวกเขารวบรวมข้อมูลอย่างเงียบๆ มองหาข้อมูลที่ละเอียดอ่อน หรือขโมยข้อมูลประจำตัว นี่คือที่มาของการตามล่าภัยคุกคาม โดยการมองหาศัตรูในสภาพแวดล้อมเชิงรุก บริษัทเทคโนโลยีสามารถตรวจจับการโจมตีได้ล่วงหน้าและเสริมความแข็งแกร่งให้กับมาตรการรักษาความปลอดภัย
• จัดลำดับความสำคัญของการปกป้องตัวตน: ฝ่ายตรงข้ามกำลังกำหนดเป้าหมายข้อมูลประจำตัวเพื่อเจาะระบบบริษัทเทคโนโลยีมากขึ้นเรื่อยๆ ผู้ใช้รายใดก็ตาม ไม่ว่าจะเป็นพนักงาน ผู้ขายที่เป็นบุคคลภายนอก หรือลูกค้า อาจถูกบุกรุกโดยไม่รู้ตัวและเป็นช่องทางในการโจมตีสำหรับศัตรู บริษัทเทคโนโลยีต้องรับรองตัวตนทุกรายการและอนุญาตคำขอแต่ละรายการเพื่อป้องกันการโจมตีทางไซเบอร์ เช่น การโจมตีห่วงโซ่อุปทาน การโจมตีด้วยแรนซัมแวร์ หรือการละเมิดข้อมูล
• อย่าลืมเกี่ยวกับการป้องกันภัยคุกคาม: สำหรับบริษัทเทคโนโลยี เครื่องมือป้องกันภัยคุกคามสามารถบล็อกภัยคุกคามทางไซเบอร์ได้ก่อนที่จะเจาะเข้าไปในสภาพแวดล้อมหรือก่อนที่จะสร้างความเสียหาย การตรวจจับและการป้องกันเป็นของคู่กัน เพื่อป้องกันภัยคุกคามทางไซเบอร์ จะต้องตรวจพบแบบเรียลไทม์ ยิ่งสภาพแวดล้อมด้านไอทีมีขนาดใหญ่เท่าใด ความต้องการเครื่องมือที่ช่วยในการตรวจจับและป้องกันภัยคุกคามก็ยิ่งมากขึ้นเท่านั้น

วิวัฒนาการของอาชญากรรมไซเบอร์และกิจกรรมของรัฐชาติไม่มีทีท่าว่าจะชะลอตัวลง บริษัทเทคโนโลยีต้องเสริมความแข็งแกร่งในการป้องกันและเข้าใจเทคนิคของฝ่ายตรงข้าม เพื่อปกป้องภาระงาน ตัวตน และข้อมูล และทำให้องค์กรดำเนินต่อไปได้